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Le comité européen de la protection des données 


vu l’article 70, paragraphe 1, pointe), du règlement (UE) 2016/679 du Parlement européen et du 
Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des 


données à caractère personnel et à la libre circulation de ces données, et abrogeant la 
directive 95/46/CE, 


A ADOPTÉ LES LIGNES DIRECTRICES SUIVANTES 


1 PARTIE 1 — INTRODUCTION 


1.1 Contexte 


Conformément à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, les données 
à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base d’un 
fondement légitime prévu par la loi. À cet égard, l’article 6, paragraphe 1, du règlement général sur la 
protection des données! (le «RGPD») précise que le traitement n’est licite que si l’une des six 
conditions énoncées à l’article 6, paragraphe 1, points a) à f), est remplie. Il est essentiel de déterminer 
la base juridique appropriée qui correspond à l'objectif et à l'essence du traitement. Lorsqu'ils 
déterminent la base juridique appropriée, les responsables du traitement doivent tenir compte, entre 
autres, de l’incidence sur les droits des personnes concernées, afin de respecter le principe de loyauté. 


L'article 6, paragraphe 1, point b), du RGPD pose un fondement légal pour le traitement des données 
en stipulant que le traitement n'est licite que dans la mesure où «il est nécessaire à l'exécution d’un 
contrat auquel la personne concernée est partie où à l'exécution de mesures précontractuelles prises 
à la demande de celle-ci»? Cette disposition renforce la liberté d’entreprise, qui est garantie par 
l’article 16 de la charte, et reflète le fait que, parfois, les obligations contractuelles envers la personne 
concernée ne peuvent être exécutées sans que cette dernière fournisse certaines données à caractère 
personnel. Si le traitement spécifique fait partie intégrante de la prestation de service demandée, il est 
dans l'intérêt des deux parties de traiter ces données, faute de quoi le service ne pourrait pas être 
fourni et le contrat ne pourrait pas être exécuté. Toutefois, la possibilité de s'appuyer sur cette base 
juridique ou sur l’une des autres bases juridiques mentionnées à l’article 6, paragraphe 1, ne dispense 
pas le responsable du traitement de l’obligation de respecter les autres exigences du RGPD. 


Les articles 56 et 57 du Traité sur le fonctionnement de l’Union européenne définissent et 
réglementent la libre prestation de services dans l’Union européenne. Des mesures législatives 
spécifiques ont été adoptées par l'UE en ce qui concerne les «services de la société de l’information».$ 
On entend par «services de la société de l'information» «tout service normalement fourni contre 
rémunération, à distance par voie électronique et à la demande individuelle d’un bénéficiaire de 
services». Cette définition s'étend aux services qui ne sont pas payés directement par les personnes 





1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques 
à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la 
directive 95/46/CE (règlement général sur la protection des données). 

2 Voir également le considérant 44. 

3 Voir, par exemple, la directive (UE) 2015/1535 du Parlement européen et du Conseil et l’article 8 du RGPD. 


qui en bénéficient, * comme les services en ligne financés par la publicité. Les «services en ligne», tels 
qu'ils sont utilisés dans les présentes lignes directrices, font référence aux «services de la société de 
l'information». 


L'évolution du droit de l’Union reflète l'importance centrale des services en ligne dans la société 
moderne. La prolifération de l'internet mobile permanent et la disponibilité généralisée des appareils 
connectés ont permis le développement de services en ligne dans des domaines tels que les réseaux 
sociaux, le commerce électronique, la recherche sur l'internet, la communication et les voyages. Alors 
que certains de ces services sont financés par les paiements des utilisateurs, d’autres sont fournis sans 
aucun paiement monétaire de la part du consommateur. Au lieu de cela, ils sont financés par la vente 
de services publicitaires en ligne permettant de cibler les personnes concernées. Le pistage du 
comportement de l'utilisateur à des fins publicitaires est souvent effectué par des moyens dont 
l'utilisateur n’est généralement pas conscient,” et il n’est pas toujours immédiatement évident au 
regard de la nature du service fourni, de telle sorte que, dans la pratique, il est quasiment impossible 
pour la personne concernée d’exercer un choix éclairé en ce qui concerne l’utilisation de ses données. 


Dans ce contexte, le comité européen de la protection des donnéesf (CEPD) estime qu’il convient de 
fournir des orientations sur l’applicabilité de l’article 6, paragraphe 1, point b), au traitement des 
données à caractère personnel dans le cadre des services en ligne, afin de s'assurer que cette base 
juridique ne soit invoquée que lorsqu'elle est appropriée. 


Dans son avis sur la notion d'intérêt légitime poursuivi par le responsable du traitement des données, 
le groupe de travail «article 29» (WP29) s’est déjà exprimé sur la base de la nécessité contractuelle au 
sens de la directive 95/46/CE.7 D'une manière générale, ces orientations restent pertinentes au regard 
de l’article 6, paragraphe 1, point b), du RGPD. 


1.2 Champ d'application des présentes lignes directrices 


Les présentes lignes directrices portent sur l’applicabilité de l’article 6, paragraphe 1, point b), relatif 
au traitement des données à caractère personnel dans le cadre des contrats de services en ligne, quel 
que soit le mode de financement de ces services. Les lignes directrices exposeront les éléments du 
traitement licite au sens de l’article 6, paragraphe 1, point b), du RGPD et examineront la notion de 
«nécessité» telle qu’ applicable dans l'expression «nécessaire à l'exécution d’un contrat». 


Les règles de protection des données régissent des aspects importants quant à la manière dont les 
services en ligne interagissent avec leurs utilisateurs, mais d’autres règles s'appliquent également. La 
réglementation des services en ligne implique des responsabilités interfonctionnelles dans les 
domaines du droit de la protection des consommateurs et du droit de la concurrence, notamment. Les 
considérations relatives à ces domaines du droit dépassent le cadre des présentes lignes directrices. 


Bien que l’article 6, paragraphe 1, point b), ne puisse s'appliquer que dans un contexte contractuel, les 
présentes lignes directrices n’expriment pas d’avis sur la validité des contrats de services en ligne en 
général, ces derniers ne relevant pas de la compétence du CEPD. Toutefois, les contrats et les 
conditions contractuelles doivent être conformes aux exigences du droit des contrats et, le cas 





4 Voir le considérant 18 de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects 
juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur. 

5 À cet égard, les responsables du traitement doivent remplir les obligations de transparence prévues dans le RGPD. 

6 Institué en vertu de l’article 68 du RGPD. 

7 Groupe de travail «article 29», avis 06/2014 sur la notion d'intérêt légitime poursuivi par le responsable du traitement des 
données au sens de l’article 7 de la directive 95/46/CE (WP217). Voir, notamment, les pages 11, 16, 17, 18 et 55. 
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échéant, du droit de la protection des consommateurs (pour les contrats de consommateurs), afin que 
le traitement fondé sur ces conditions soit considéré comme loyal et licite. 


Certaines observations générales sur les principes de protection des données sont formulées ci- 
dessous, mais les questions de protection des données qui peuvent se poser lors du traitement au sens 
de l’article 6, paragraphe 1, point b), ne seront pas toutes traitées en détail. Les responsables du 
traitement doivent toujours s'assurer qu’ils respectent les principes de protection des données 
énoncés à l’article 5, ainsi que toutes les autres exigences du RGPD et, le cas échéant, la législation sur 
la vie privée et les communications électroniques. 


2 PARTIE 2 - ANALYSE DE L'ARTICLE 6, PARAGRAPHE 1, POINT B) 


2.1 Observations générales 


La base juridique du traitement au sens de l’article 6, paragraphe 1, point b), doit être examinée dans 
le contexte du RGPD dans son ensemble, des objectifs énoncés à l’article 1% ainsi que de l’obligation 
des responsables du traitement d'utiliser les données à caractère personnel dans le respect des 
principes de protection de ces dernières visés à l’article 5. Cela inclut l'obligation de traiter les données 
à caractère personnel d’une manière équitable et transparente, et conformément aux principes de 


limitation de la finalité et de minimisation des données. 


L'article 5, paragraphe 1, point a), du RGPD dispose que les données à caractère personnel doivent 
être traitées de manière licite, loyale et transparente au regard de la personne concernée. Le principe 
de loyauté prévoit notamment la reconnaissance des attentes raisonnables? des personnes 
concernées, l'examen des éventuelles conséquences négatives que le traitement pourrait avoir sur 
celles-ci, et la prise en compte de la relation et des effets potentiels du déséquilibre entre les personnes 
concernées et le responsable du traitement. 


Comme mentionné ci-dessus, dans un souci de légalité, les contrats de services en ligne doivent être 
valides au regard du droit des contrats applicable. La question de savoir si la personne concernée est 
un enfant est un exemple de facteur pertinent. En pareil cas (outre le respect des exigences du RGPD, 
et notamment des «protections spécifiques» qui s'appliquent aux enfants)? le responsable du 
traitement doit s'assurer qu’il respecte bien les lois nationales pertinentes en ce qui concerne la 
capacité des enfants à conclure des contrats. En outre, pour garantir le respect des principes de loyauté 
et de licéité, le responsable du traitement doit satisfaire à d’autres exigences légales. Ainsi, par 
exemple, pour les contrats conclus avec des consommateurs, la directive 93/13/CEE concernant les 
clauses abusives dans les contrats conclus avec les consommateurs (la «directive sur les clauses 


8 Certaines données à caractère personnel sont censées être privées ou n'être traitées que selon certaines modalités, et, à 
cet égard, le traitement des données ne devrait pas surprendre la personne concernée. Dans le RGPD, la notion d’«attentes 
raisonnables» est expressément mentionnée aux considérants 47 et 50, lus en liaison avec l’article 6, paragraphe 1, point f), 
et paragraphe 4. 

9 Voir le considérant 38, qui énonce que les enfants méritent une protection spécifique en ce qui concerne leurs données à 
caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées 
et de leurs droits liés au traitement des données à caractère personnel. 


14. 


15. 


16. 


17. 


abusives dans les contrats») peut être applicable.! L'article 6, paragraphe 1, point b), ne se limite pas 
aux contrats régis par le droit d’un État membre de l’EEE. 


L'article 5, paragraphe 1, point b), du RGPD instaure le principe de limitation de la finalité, selon lequel 
les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et 
légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités. 


L'article 5, paragraphe 1, point c), prévoit le principe de minimisation des données, c’est-à-dire que les 
données traitées doivent être limitées à ce qui est nécessaire pour atteindre la finalité. Cette 
évaluation complète les évaluations de la nécessité en vertu de l’article 6, paragraphe 1, points b) à f). 


Les principes de limitation de la finalité et de minimisation des données sont particulièrement 
importants dans les contrats de services en ligne, qui ne font généralement pas l’objet d’une 
négociation individuelle. Les progrès technologiques permettent aux responsables du traitement de 
recueillir et de traiter facilement plus de données à caractère personnel que jamais auparavant. En 
conséquence, il existe un risque accru que les responsables du traitement de données cherchent à 
inclure des conditions générales de traitement dans les contrats afin de maximiser la collecte et les 
utilisations possibles des données, sans préciser ces finalités de manière adéquate, ni prévoir des 
obligations de minimisation des données. Le groupe de travail «article 29» a affirmé précédemment: 


La finalité de la collecte doit être indiquée d’une manière claire et spécifique: elle doit être 
suffisamment détaillée pour déterminer quel type de traitement est ou n’est pas inclus dans la 
finalité spécifiée, mais aussi pour permettre l’évaluation du respect de la loi et l’application de 
garanties de protection des données. Pour ces raisons, les finalités vagues ou générales, telles 
que des fins d’«amélioration de l'expérience utilisateur», des «fins commerciales», des «fins de 
sécurité informatique» ou des fins de «recherches futures», ne satisferont généralement pas — 
si pas davantage détaillées — au critère d’être «spécifiques». *? 


2.2 Interaction de l’article 6, paragraphe 1, point b), avec d’autres bases juridiques 
de traitement 


Lorsque le traitement n’est pas considéré comme «nécessaire à l'exécution d’un contrat», c’est-à-dire 
lorsqu'un service demandé peut être fourni sans que le traitement spécifique ait lieu, le CEPD 
reconnaît qu’une autre base juridique peut être applicable, pour autant que les conditions pertinentes 
soient remplies. En particulier, dans certaines circonstances, il peut être plus approprié de se fonder 
sur le consentement donné librement en vertu de l’article 6, paragraphe 1, point a). Dans d’autres cas, 
l’article 6, paragraphe 1, point f), peut fournir une base juridique plus appropriée pour le traitement. 
La base juridique doit être déterminée dès le début du traitement et les informations fournies aux 
personnes concernées conformément aux articles 13 et 14 doivent préciser la base juridique. 





10 Une clause d’un contrat n’ayant pas fait l’objet d’une négociation individuelle est abusive au sens de la directive sur les 
clauses abusives dans les contrats «lorsque, en dépit de l’exigence de bonne foi, elle crée au détriment du consommateur un 
déséquilibre significatif entre les droits et obligations des parties découlant du contrat». À l'instar de l'obligation de 
transparence prévue dans le RGPD, la directive sur les clauses abusives dans les contrats impose l’utilisation d’une rédaction 
claire et compréhensible. Un traitement de données à caractère personnel qui est fondé sur une clause considérée comme 
abusive, au sens de la directive sur les clauses abusives dans les contrats, ne sera généralement pas conforme à l'exigence 
prévue à l’article 5, paragraphe 1, point a), du RGPD, selon laquelle les données doivent être traitées de manière licite et 
loyale. 

11 Le RGPD s'applique à certains responsables du traitement qui ne sont pas établis dans l’EEE; voir l’article 3 du RGPD. 

12 Avis 03/2013 du groupe de travail «article 29» sur la limitation de la finalité (WP203), pages 15 et 16. 
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Il est possible qu’une autre base juridique que l’article 6, paragraphe 1, point b), corresponde mieux à 
l'objectif et au contexte du traitement en question. La détermination de la base juridique appropriée 
est liée aux principes de loyauté et de limitation de la finalité.” 


Les lignes directrices du groupe de travail «article 29» sur le consentement précisent également que 
«lorsqu'un responsable du traitement cherche à traiter des données à caractère personnel qui sont en 
fait nécessaires à l'exécution d’un contrat, le consentement ne constitue pas la base juridique 
appropriée». Inversement, le CEPD considère que, lorsque le traitement n’est pas en fait nécessaire à 
l’exécution d’un contrat, ce traitement ne peut intervenir que s’il repose sur une autre base juridique 
appropriée.!* 


Conformément à leurs obligations de transparence, les responsables du traitement devraient veiller à 
éviter toute confusion en ce qui concerne la base juridique applicable. Cela est particulièrement 
important lorsque la base juridique appropriée est l’article 6, paragraphe 1, point b), et qu’un contrat 
concernant des services en ligne est conclu par des personnes concernées. Selon les circonstances, les 
personnes concernées pourraient avoir l'impression erronée, lorsqu'elles signent un contrat ou 
acceptent des conditions de service, qu’elles donnent leur consentement conformément à l’article 6, 
paragraphe 1, point a). En même temps, un responsable du traitement pourrait supposer, à tort, que 
la signature d’un contrat correspond à un consentement au sens de l’article 6, paragraphe 1, point a). 
Il s’agit en effet de notions totalement différentes. Il importe d'établir une distinction entre 
l'acceptation de conditions de service pour conclure un contrat et le consentement donné au sens de 
l’article 6, paragraphe 1, point a). En effet, ces deux notions sont assorties d’exigences et de 
conséquences juridiques différentes. 


En ce qui concerne le traitement de catégories particulières de données à caractère personnel, le 
groupe de travail «article 29» a également observé dans les lignes directrices sur le consentement que: 


L'article 9, paragraphe 2, ne reconnaît pas la notion de «nécessaire à l'exécution d’un contrat» 
comme une exception à l'interdiction générale de traiter des catégories particulières de 
données. Par conséquent, les responsables du traitement et les États membres qui sont 
confrontés à cette situation devraient examiner les exceptions spécifiques prévues à l’article 9, 
paragraphe 2, points b) à j). Si aucune des exceptions b) à j) ne s'applique, l'obtention d’un 
consentement explicite, conformément aux conditions du consentement valable prévues dans 
le RGPD, demeure la seule exception légale possible pour traiter ces données. 


2.3 Champ d'application de l’article 6, paragraphe 1, point b) 


L'article 6, paragraphe 1, point b), s'applique lorsque l’une des deux conditions suivantes est remplie: 
le traitement en question doit être objectivement nécessaire à l'exécution d’un contrat avec une 
personne concernée ou le traitement doit être objectivement nécessaire afin de prendre des mesures 
précontractuelles à la demande de la personne concernée. 


13 Lorsque les responsables du traitement s'attachent à déterminer la base juridique appropriée conformément au principe 
de loyauté, ils auront des difficultés à le faire s'ils n’ont pas d’abord clairement défini les finalités du traitement, ou si le 
traitement des données à caractère personnel va au-delà de ce qui est nécessaire pour les finalités spécifiées. 

14 Pour de plus amples informations sur les implications liées à l’article 9, voir les lignes directrices du groupe de travail «article 
29» sur le consentement en vertu du règlement 2016/679 (WP259), approuvées par le CEPD, pages 19 et 20. 

15 Lignes directrices du groupe de travail «article 29» sur le consentement en vertu du règlement 2016/679 (WP259), 
approuvées par le CEPD, page 19. 
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2.4 Nécessité 


La nécessité d’un traitement est une condition préalable pour les deux parties de l’article 6, paragraphe 
1, point b). Il est important de relever d'emblée que la notion de ce qui est «nécessaire à l'exécution 
d’un contrat» n’est pas une simple évaluation de ce qui est autorisé ou fixé dans les conditions d’un 
contrat. En effet, la notion de nécessité possède une signification indépendante dans le droit de l’Union 
européenne, qui doit refléter les objectifs de la législation relative à la protection des données!$. Par 
conséquent, elle implique également la prise en compte du droit fondamental au respect de la vie 
privée et à la protection des données à caractère personnel”, ainsi que des exigences des principes de 
protection des données, y compris notamment le principe de loyauté. 


Le point de départ consiste à déterminer la finalité du traitement. Or, dans le contexte d’une relation 
contractuelle, les finalités du traitement peuvent être très variées. Ces finalités doivent être clairement 
précisées et communiquées à la personne concernée, conformément aux obligations du responsable 
du traitement en matière de limitation de la finalité et de transparence. 


L'évaluation de ce qui est «nécessaire» implique une évaluation factuelle globale du traitement «aux 
fins de l'objectif poursuivi et de déterminer si ce traitement est moins intrusif par rapport aux autres 
moyens de réaliser le même objectif».!8 S'il existe des alternatives réalistes et moins intrusives, le 
traitement n’est pas «nécessaire».! L'article 6, paragraphe 1, point b), ne couvrira pas les traitements 
qui sont utiles mais non objectivement nécessaires à l'exécution du service contractuel ou à la mise en 
œuvre des mesures précontractuelles pertinentes à la demande de la personne concernée, même s'ils 
sont nécessaires pour les autres finalités commerciales du responsable du traitement. 


2.5 Nécessaire à l'exécution d’un contrat avec la personne concernée 


Un responsable du traitement peut invoquer la première option de l’article 6, paragraphe 1, point b), 
pour traiter des données à caractère personnel lorsque, conformément à ses obligations en matière 
de responsabilité au titre de l’article 5, paragraphe 2, il peut établir à la fois que le traitement intervient 
dans le cadre d’un contrat valable conclu avec la personne concernée et qu'il est nécessaire à 
l'exécution du contrat particulier signé avec celle-ci. Lorsque le responsable du traitement ne peut pas 
démontrer a) l’existence d’un contrat, b) la validité du contrat en vertu du droit national des contrats 
applicable, et c) que le traitement est objectivement nécessaire à l'exécution du contrat, il devrait 
envisager une autre base juridique pour le traitement. 


16 La CJUE a affirmé dans Huber qu'«il s’agit d’une notion [la nécessité] autonome du droit communautaire qui doit recevoir 
une interprétation de nature à répondre pleinement à l’objet de cette directive [directive 95/46], tel que défini à l’article 1°, 
paragraphe 1, de celle-ci». CJUE, affaire C-524/06, Heinz Huber/Bundesrepublik Deutschland, 18 décembre 2008, point 52. 
17 Voir articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne 

18 Voir la Boîte à outils du CEPD: Guide pour l’évaluation de la nécessité des mesures limitant le droit fondamental à la 
protection des données à caractère personnel, page 5. 

1 Dans l'affaire Schecke, la CJUE a estimé que, lors de l’examen de la nécessité du traitement des données à caractère 
personnel, le législateur devait tenir compte de mesures alternatives moins intrusives. CJUE, affaires jointes C-92/09 et 
C-93/09, Volker und Markus Schecke GbR et Hartmut Eifert/Land Hessen, 9 novembre 2010. La CJUE a repris cet argument 
dans l'affaire Rīgas, jugeant que «s'agissant de la condition relative à la nécessité du traitement des données, il y a lieu de 
rappeler que les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent 
s’opérer dans les limites du strict nécessaire». CJUE, affaire C-13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas 
pärvalde/Rigas pašvaldības SIA ‘Rīgas satiksme’, point 30. Toute limitation de l’exercice des droits au respect de la vie privée 
et à la protection des données à caractère personnel, dans le cadre du traitement de données, doit être appréciée à l’aune 
du critère de stricte nécessité (voir la Boîte à outils du CEPD): Guide pour l'évaluation de la nécessité des mesures limitant le 
droit fondamental à la protection des données à caractère personnel, page 7. 


27. 


28. 


29. 


30. 


31. 


Le simple fait de mentionner ou de faire référence au traitement de données dans un contrat ne suffit 
pas à faire entrer le traitement en question dans le champ d’application de l’article 6, paragraphe 1, 
point b). Par ailleurs, le traitement peut être objectivement nécessaire même s'il n’est pas 
expressément mentionné dans le contrat. En tout état de cause, le responsable du traitement doit 
respecter ses obligations en matière de transparence. Lorsqu'un responsable du traitement cherche à 
établir que le traitement est basé sur l'exécution d’un contrat avec la personne concernée, il est 
important d'évaluer ce qui est objectivement nécessaire à l'exécution du contrat. À l'évidence, 
«nécessaire à l'exécution» suppose quelque chose de plus qu’une simple clause contractuelle. Cela 
ressort également clairement du libellé de l’article 7, paragraphe 4. Bien que cette disposition ne 
concerne que la validité du consentement, elle établit clairement une distinction entre les activités de 
traitement nécessaires à l'exécution d’un contrat, d’un côté, et les clauses subordonnant le service à 
certaines activités de traitement qui ne sont en fait pas nécessaires à l'exécution du contrat, de l’autre. 


À cet égard, le CEPD approuve les orientations précédemment adoptées par le groupe de travail 
«article 29» sur la disposition équivalente en vertu de la précédente directive, selon lesquelles la 
disposition «nécessaire à l'exécution d’un contrat avec la personne concernée»: 


… doit être interprétée de façon restrictive et ne couvre pas les situations dans lesquelles le 
traitement n’est pas véritablement nécessaire à l'exécution d’un contrat, mais plutôt imposé 
unilatéralement à la personne concernée par le responsable du traitement. De même, le fait 
qu’un traitement soit couvert par un contrat ne signifie pas automatiquement qu'il est 
nécessaire à son exécution. [...] Même si ces activités de traitement sont spécifiquement 
mentionnées dans les petits caractères du contrat, ce seul fait ne les rend pas «nécessaires» à 


l'exécution du contrat.” 


Le CEPD rappelle également les mêmes orientations du WP29, affirmant: 


Il existe en l’espèce un lien évident entre l'évaluation de la nécessité et le respect du principe 
de limitation de la finalité. II est important de déterminer la justification exacte du contrat, 
c'est-à-dire sa substance et son objectif fondamental. En effet, c’est par rapport à ces critères 
qu'il sera vérifié si le traitement de données est nécessaire à l'exécution du contrat.?! 


Pour déterminer si l’article 6, paragraphe 1, point b), constitue une base juridique appropriée pour le 
traitement dans le cadre d’un service contractuel en ligne, il convient de tenir compte du but, de la 
finalité ou de l'objectif particulier du service. Afin que l’article 6, paragraphe 1, point b), soit applicable, 
le traitement doit être objectivement nécessaire à une finalité qui fait partie intégrante de la prestation 
de ce service contractuel à la personne concernée. Le traitement de données de paiement à des fins 
de facturation du service n’est pas exclu. Le responsable du traitement devrait être en mesure de 
démontrer en quoi l’objet principal du contrat spécifique conclu avec la personne concernée ne peut 
être effectivement exécuté en l'absence du traitement spécifique des données à caractère personnel 
concernées. La question importante, en l'espèce, est le lien entre, d’un côté, les données à caractère 
personnel et les opérations de traitement concernées, et, de l’autre, l'exécution ou l'inexécution du 
service fourni dans le cadre du contrat. 


Les contrats de services numériques peuvent comporter des conditions expresses qui imposent des 
conditions supplémentaires en ce qui concerne notamment la publicité, les paiements ou encore les 
cookies. Un contrat ne peut élargir artificiellement les catégories de données à caractère personnel ou 


20 Avis 06/2014 du groupe de travail «article 29» sur la notion d'intérêt légitime du responsable du traitement au sens de l’article 7 
de la directive 95/46/CE (WP217), p. 16 et 17. 
21 Ibidem, p. 17. 
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32. 


33. 


34. 


35. 


les types de traitements que le responsable du traitement doit effectuer pour garantir l'exécution du 
contrat au sens de l’article 6, paragraphe 1, point b). 


Le responsable du traitement devrait être en mesure de justifier la nécessité de son traitement par 
rapport à la finalité contractuelle fondamentale et mutuellement comprise. Cela dépend non 
seulement du point de vue du responsable du traitement, mais aussi de celui d’une personne 
concernée raisonnable au moment de la conclusion du contrat, ainsi que de la question de savoir si le 
contrat peut toujours être considéré comme «exécuté» en l’absence du traitement en question. Bien 
que le responsable du traitement puisse considérer que le traitement est nécessaire pour la finalité 
contractuelle, il est important qu'il examine attentivement le point de vue d’une personne concernée 
moyenne, afin de s'assurer qu'il existe une véritable compréhension mutuelle de la finalité 
contractuelle. 


Afin de procéder à l’appréciation de la question de savoir si l’article 6, paragraphe 1, point b), est 
applicable, les questions suivantes peuvent servir de guide: 


e Quelle est la nature du service fourni à la personne concernée? Quelles sont ses 
caractéristiques distinctives? 


e Quelle est la justification exacte du contrat (c'est-à-dire sa substance et son objet 
fondamental)? 


e Quels sont les éléments essentiels du contrat? 


e Quelles sont les perspectives et les attentes mutuelles des parties au contrat? Comment 
le service est-il promu ou annoncé auprès de la personne concernée? Un utilisateur 
ordinaire du service s’attendrait-il raisonnablement à ce que, compte tenu de la nature du 
service, le traitement envisagé soit effectué pour permettre l’exécution du contrat auquel 
il est partie? 


Si l'appréciation de ce qui est «nécessaire à l'exécution d’un contrat», qui doit être effectuée avant le 
début du traitement, montre que le traitement envisagé va au-delà de ce qui est objectivement 
nécessaire à l'exécution du contrat, cela ne rend pas ce futur traitement illicite en soi. Comme déjà 
mentionné, l’article 6 indique clairement que d’autres bases juridiques peuvent être invoquées avant 
le début du traitement.?? 


Si, au cours de la durée de vie d’un service, de nouvelles technologies sont mises en œuvre qui 
modifient la manière dont les données à caractère personnel sont traitées, ou si le service évolue d’une 
autre manière, les critères mentionnés précédemment doivent être réévalués pour déterminer si des 
traitements nouveaux ou modifiés peuvent être fondés sur l’article 6, paragraphe 1, point b). 








Exemple 1 


Une personne concernée achète des articles auprès d’un détaillant en ligne. La personne concernée 
souhaite payer par carte de crédit et que les produits soient livrés à son domicile. Afin d'exécuter le 
contrat, le détaillant doit traiter les informations relatives à la carte de crédit et à l’adresse de 
facturation de la personne concernée à des fins de paiement, ainsi que l’adresse de la personne pour 





22 Voir les lignes directrices du groupe de travail «article 29» sur le consentement en vertu du règlement 2016/679 (WP259), 
approuvées par le CEPD, page 31, dans lesquelles il est affirmé que: «Le RGPD ne permet pas de changer de base juridique.» 
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36. 


37. 


38. 





livrer les articles. L'article 6, paragraphe 1, point b), est donc applicable en tant que base juridique pour 
ces activités de traitement. 


Toutefois, si le client a opté pour l'expédition à un point d'enlèvement, le traitement de l’adresse 
personnelle de la personne concernée n’est plus nécessaire à l'exécution du contrat d'achat. Dans ce 
contexte, le traitement de l'adresse de la personne concernée nécessitera une base juridique 
différente de celle prévue à l’article 6, paragraphe 1, point b). 











Exemple 2 


Le même détaillant en ligne souhaite créer des profils des goûts et des choix de style de vie de 
l'utilisateur en fonction de ses visites sur le site Web. La conclusion du contrat d'achat ne dépend pas 
de l’établissement de ces profils. Même si le profilage est spécifiquement mentionné dans le contrat, 
ce seul fait ne le rend pas «nécessaire» à l'exécution du contrat. Si le détaillant en ligne souhaite 
effectuer un tel profilage, il doit s'appuyer sur une base juridique différente. 





Dans les limites du droit des contrats et, le cas échéant, du droit des consommateurs, les responsables 
du traitement sont libres de concevoir leurs activités, leurs services et leurs contrats comme bon leur 
semble. Dans certains cas, un responsable du traitement pourrait souhaiter regrouper, au sein d’un 
même contrat, plusieurs services ou éléments distincts d’un même service, avec des finalités, des 
caractéristiques et des motifs fondamentaux différents. Cela pourrait créer une situation de type «à 
prendre ou à laisser» pour les personnes concernées, qui pourraient n'être intéressées que par un seul 
de ces services. 


En ce qui concerne la législation sur la protection des données, les responsables du traitement doivent 
tenir compte du fait que les activités de traitement prévues doivent reposer sur une base juridique 
appropriée. Lorsque le contrat consiste en plusieurs services ou éléments distincts d’un même service, 
qui peuvent en fait être raisonnablement exécutés indépendamment les uns des autres, la question se 
pose de savoir dans quelle mesure l’article 6, paragraphe 1, point b), peut servir de base juridique. 
L’applicabilité de l’article 6, paragraphe 1, point b), devrait être évaluée dans le contexte de chacun de 
ces services séparément, en examinant ce qui est objectivement nécessaire pour exécuter chacun des 
services que la personne concernée a activement demandés ou souscrits. Cette appréciation pourrait 
révéler que certaines activités de traitement sont nécessaires, non pas pour les différents services 
demandés par la personne concernée, mais pour l’ensemble du modèle commercial du responsable 
du traitement. Dans ce cas, l’article 6, paragraphe 1, point b), ne constitue pas une base juridique pour 
ces activités. Toutefois, d’autres bases juridiques peuvent être invoquées pour ce traitement, comme 
l’article 6, paragraphe 1, points a) ou f), à condition que les critères pertinents soient remplis. Par 
conséquent, l'appréciation de l’applicabilité de l’article 6, paragraphe 1, point b), n’affecte pas la 
légalité du contrat ni le regroupement des services en tant que tel. 


Comme le groupe de travail «article 29» l’a déjà fait observer, la base juridique ne s'applique qu’à ce 
qui est nécessaire à l'exécution d’un contrat.” À ce titre, elle ne s'applique pas automatiquement à 
toutes les autres mesures consécutives à la non-conformité ou à tous les autres incidents liés à 
l’exécution d’un contrat. Toutefois, certaines mesures peuvent être raisonnablement prévues et 
nécessaires dans le cadre d’une relation contractuelle normale, comme l'envoi de rappels formels 





23 Avis 06/2014 du groupe de travail «article 29» sur la notion d'intérêt légitime du responsable du traitement au titre de 
l’article 7 de la directive 95/46/CE (WP217), p. 17 et 18. 
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39. 


40. 


41. 


42. 


43. 


concernant les impayés ou la correction d'erreurs ou de retards dans l’exécution du contrat. L'article 
6, paragraphe 1, point b), peut couvrir les traitements de données à caractère personnel qui sont 
nécessaires dans le cadre de ces mesures. 








Exemple 3 


Une entreprise vend des produits en ligne. Un client contacte l’entreprise parce que la couleur du 
produit acheté est différente de celle convenue. Le traitement des données à caractère personnel du 
client pour régler ce problème peut être fondé sur l’article 6, paragraphe 1, point b). 





La garantie contractuelle peut faire partie de l’exécution d’un contrat et, par conséquent, le stockage 
de certaines données pendant une période de conservation déterminée, à des fins de garantie, une 
fois l'échange de produits/services/paiement terminé, peut être nécessaire à l'exécution d’un contrat. 


2.6 Résiliation de contrat 


Un responsable du traitement doit déterminer la base juridique appropriée pour les traitements 
envisagés avant de procéder au traitement des données. Lorsque l’article 6, paragraphe 1, point b), 
constitue la base de tout ou partie des activités de traitement, le responsable du traitement devrait 
anticiper ce qui se passera en cas de résiliation du contrat.? 


Lorsque le traitement de données à caractère personnel est fondé sur l’article 6, paragraphe 1, point 
b), et que le contrat est résilié dans son intégralité, le traitement de ces données ne sera généralement 
plus nécessaire à l’exécution du contrat, et le responsable du traitement devra donc mettre fin au 
traitement. La personne concernée a peut-être fourni ses données à caractère personnel dans le cadre 
d’une relation contractuelle parce qu’elle supposait que les données ne seraient traitées que dans la 
mesure nécessaire à cette relation. Dès lors, il est généralement injuste d'adopter une nouvelle base 
juridique lorsque la base initiale cesse d’exister. 


La résiliation d’un contrat peut nécessiter des démarches administratives, comme le retour des 
marchandises ou le remboursement, par exemple. Le traitement associé peut être fondé sur l’article 
6, paragraphe 1, point b). 


L'article 17, paragraphe 1, point a), dispose que les données à caractère personnel sont effacées 
lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. 
Cette règle ne s'applique toutefois pas si le traitement est nécessaire pour certaines finalités 
spécifiques, notamment le respect d’une obligation légale en vertu de l’article 17, paragraphe 3, point 
b), ou la constatation, l'exercice ou la défense de droits en justice en vertu de l’article 17, paragraphe 
3, point e). Dans la pratique, si les responsables du traitement constatent un besoin général de 
conserver des registres à des fins légales, ils doivent déterminer une base juridique pour cette 
conservation dès le début du traitement, et doivent communiquer clairement, au même moment, la 
durée pendant laquelle ils prévoient de conserver les registres à ces fins légales après la résiliation du 
contrat. Dans ce cas, ils ne sont pas obligés d’effacer les données après la résiliation du contrat. 


24 En cas d'annulation ultérieure d’un contrat, cela aura une incidence sur la licéité [au sens de l’article 5, paragraphe 1, point 
a)] de la poursuite du traitement. Toutefois, cela n’implique pas automatiquement que le choix de l’article 6, paragraphe 1, 
point b), comme base juridique était erroné. 
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44. 


45. 


46. 


47. 


En tout état de cause, il est possible que plusieurs traitements présentant des finalités et des bases 
juridiques distinctes aient été identifiés dès le début du traitement. Tant que ces autres traitements 
restent licites et que le responsable du traitement a communiqué clairement ces opérations au début 
du traitement, conformément aux obligations de transparence du RGPD, il sera toujours possible de 


traiter des données à caractère personnel concernant la personne concernée pour ces finalités 
distinctes après la résiliation du contrat. 








Exemple 4 


Un service en ligne propose un service d'abonnement qui peut être annulé à tout moment. Lorsqu’un 
contrat est conclu pour ce service, le responsable du traitement informe la personne concernée du 
traitement des données à caractère personnel. 


Le responsable du traitement explique notamment que, tant que le contrat sera en vigueur, il traitera 
des données relatives à l’utilisation du service pour émettre les factures. La base juridique applicable 
est l’article 6, paragraphe 1, point b), car le traitement à des fins de facturation peut être considéré 
comme objectivement nécessaire à l'exécution du contrat. Toutefois, en cas de résiliation du contrat, 
et à supposer qu’il n’y ait aucune demande en justice en cours ni aucune obligation légale de conserver 
les données, l'historique d'utilisation sera effacé. 


En outre, le responsable du traitement informe les personnes concernées qu’il est tenu, en vertu du 
droit national, de conserver certaines données à caractère personnel à des fins comptables, pendant 
un nombre d’années déterminé. La base juridique appropriée est l’article 6, paragraphe 1, point c), et 
les données seront conservées même si le contrat est résilié. 





2.7 Nécessaire à l'exécution de mesures précontractuelles 


La deuxième option prévue à l’article 6, paragraphe 1, point b), s'applique lorsque le traitement est 
nécessaire à l’exécution de mesures précontractuelles prises à la demande de la personne concernée. 
Cette disposition reflète le fait qu’un traitement préalable de données à caractère personnel peut être 
nécessaire avant la conclusion d’un contrat, afin de faciliter la conclusion effective de ce contrat. 


Au moment du traitement, il peut être difficile de savoir si un contrat sera effectivement conclu. La 
deuxième option prévue à l’article 6, paragraphe 1, point b), peut néanmoins s'appliquer pour autant 
que la personne concernée fasse la demande dans le cadre de l’éventuelle conclusion d’un contrat, et 
que le traitement en question soit nécessaire à l'exécution des mesures demandées. Dans cette 
optique, lorsqu'une personne concernée contacte le responsable du traitement pour se renseigner sur 
son offre de services, le traitement des données à caractère personnel de la personne concernée pour 
répondre à sa demande de renseignements peut être fondé sur l’article 6, paragraphe 1, point b). 


En tout état de cause, cette disposition ne couvrirait pas la prospection non sollicitée ou tout autre 
traitement effectué à la seule initiative du responsable du traitement ou à la demande d’un tiers. 
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48. 


49. 








Exemple 5 


La personne concernée fournit son code postal pour savoir si un prestataire de services est présent 
dans sa région. Cela peut être considéré comme un traitement nécessaire à exécution de mesures 
précontractuelles à la demande de la personne concernée, conformément à l’article 6, paragraphe 1, 
point b). 











Exemple 6 


Dans certains cas, les institutions financières ont l'obligation d'identifier leurs clients conformément 
aux lois nationales. Dans ce contexte, avant de conclure un contrat avec des personnes concernées, la 
banque demande à voir leur pièce d'identité. 


Dans ce cas, l'identification est nécessaire à l'exécution d’une obligation légale au nom de la banque, 
et non à l'exécution de mesures à la demande de la personne concernée. La base juridique appropriée 
n’est donc pas l’article 6, paragraphe 1, point b), mais l’article 6, paragraphe 1, point c). 





3 PARTIE 3 — APPLICABILITÉ DE L'ARTICLE 6, PARAGRAPHE 1, POINT 
B), DANS DES SITUATIONS SPÉCIFIQUES 


3.1 Traitement à des fins d’«amélioration du service»? 


Les services en ligne recueillent souvent des informations détaillées sur la façon dont les utilisateurs 
interagissent avec leur service. Dans la plupart des cas, la collecte de données organisationnelles 
relatives à un service où de renseignements liés au comportement des utilisateurs ne peut pas être 
considérée comme nécessaire à la fourniture du service. En effet, celui-ci pourrait être fourni en 
l’absence du traitement de ces données personnelles. Toutefois, un prestataire de services pourrait se 
fonder sur d’autres bases juridiques pour ce traitement, telles que l'intérêt légitime ou le 
consentement. 


Le CEPD ne considère pas que l’article 6, paragraphe 1, point b), constituerait généralement une base 
juridique appropriée pour un traitement destiné à améliorer un service ou à développer de nouvelles 
fonctions au sein d’un service existant. Dans la plupart des cas, un utilisateur conclut un contrat pour 
bénéficier d’un service existant. Si la possibilité d'apporter des améliorations ou des modifications à 
un service peut être régulièrement intégrée dans les clauses contractuelles, un tel traitement ne peut 
généralement pas être considéré comme objectivement nécessaire à l'exécution du contrat conclu 
avec l'utilisateur. 


25 Les services en ligne pourraient également devoir tenir compte de la directive (UE) 2019/770 du Parlement européen et du 
Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de 
services numériques (JO L 136 du 22.05.2019, p. 1), qui sera applicable à compter du 1°" janvier 2022. 


15 








50. 


51. 


52. 


53. 


54. 


3.2 Traitement à des fins de «prévention de la fraude» 


Comme l’a déjà fait remarquer le groupe de travail «article 29», le traitement à des fins de prévention 
de la fraude peut impliquer la surveillance et l’établissement du profil des clients. De l’avis du CEPD, 
un tel traitement est susceptible d’aller au-delà de ce qui est objectivement nécessaire à l'exécution 
d’un contrat avec une personne concernée. Cependant, le traitement de données à caractère 
personnel strictement nécessaire à des fins de prévention de la fraude peut constituer un intérêt 
légitime du responsable du traitement?’ et pourrait, à ce titre, être considéré comme licite, à condition 
que le responsable du traitement remplisse les exigences spécifiques de l’article 6, paragraphe 1, point 
f) (intérêts légitimes). En outre, l’article 6, paragraphe 1, point c) (obligation légale), pourrait 
également fournir une base juridique pour un tel traitement de données. 


3.3 Traitement à des fins de publicité comportementale en ligne 


La publicité comportementale en ligne, de même que le pistage et le profilage des personnes 
concernées qui vont avec, est souvent utilisée pour financer des services en ligne. Le groupe de travail 
«article 29» s’est déjà prononcé sur ce traitement, affirmant: 


[la nécessité contractuelle] n’est pas un fondement juridique approprié pour établir un profil 
des goûts et des choix de style de vie de l'utilisateur en fonction de son parcours de navigation 
sur un site Web et des articles achetés. En effet, le responsable du traitement de données n’a 
pas été engagé pour effectuer un profilage, mais pour livrer des produits et des services 
particuliers, par exemple.?# 


` 


En règle générale, le traitement de données à caractère personnel à des fins de publicité 
comportementale n’est pas nécessaire à l'exécution d’un contrat de services en ligne. Normalement, 
il serait difficile de soutenir que le contrat n’a pas été exécuté au motif qu’il n’y avait pas de publicité 
comportementale. Cela est d’autant plus vrai que les personnes concernées ont le droit absolu, en 
vertu de l’article 21, de s'opposer au traitement de leurs données à des fins de prospection. 


En outre, l’article 6, paragraphe 1, point b), ne saurait fournir une base juridique pour la publicité 
comportementale en ligne au simple motif que cette publicité finance indirectement la fourniture du 
service. Bien qu’un tel traitement puisse contribuer à la prestation d’un service, cela ne suffit pas en 
soi à établir qu’il est nécessaire à l'exécution du contrat en question. Le responsable du traitement 
devrait tenir compte des facteurs visés au paragraphe 33. 


Étant donné que la protection des données est un droit fondamental garanti par l’article 8 de la Charte 
des droits fondamentaux, et eu égard au fait que l’une des principales finalités du RGPD est de 
permettre aux personnes concernées de contrôler les informations les concernant, les données à 
caractère personnel ne sauraient être considérées comme une marchandise négociable. Même si la 





26 Avis 06/2014 du groupe de travail «article 29» sur la notion d'intérêt légitime du responsable du traitement au titre de 
l’article 7 de la directive 95/46/CE (WP217), p. 17. 

27 Voir le considérant 47, sixième phrase. 

28 Avis 06/2014 du groupe de travail «article 29» sur la notion d'intérêts légitimes du responsable du traitement au sens de 
l’article 7 de la directive 95/46/CE (WP217), page 17. 
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55. 


56. 


57. 


personne concernée peut consentir au traitement de données à caractère personnel,” elle ne saurait 
renoncer à ses droits fondamentaux du fait d’un tel consentement.° 


Le CEPD relève également que, conformément aux exigences en matière de protection de la vie privée 
dans le secteur des communications électroniques, à l'avis existant du groupe de travail «article 29» 
sur la publicité comportementale, *! ainsi qu’au document de travail 02/2013 énonçant des lignes 
directrices sur le recueil du consentement pour le dépôt de cookies, *? les responsables du traitement 
doivent obtenir le consentement préalable des personnes concernées pour déposer les cookies 
nécessaires à la réalisation de publicité comportementale. 


Le CEPD note également que le pistage et le profilage des utilisateurs peuvent être effectués aux fins 
d'identifier des groupes d'individus présentant des caractéristiques similaires, afin de permettre le 
ciblage de la publicité sur des publics similaires. Ce traitement ne peut être effectué sur la base de 
l’article 6, paragraphe 1, point b). En effet, il ne peut être considéré comme objectivement nécessaire 
à l'exécution du contrat conclu avec l'utilisateur pour pister et comparer les caractéristiques et le 
comportement des utilisateurs à des fins liées à la diffusion de publicités auprès d’autres personnes. 


3.4 Traitement pour la personnalisation du contenu** 


Le CEPD reconnaît que la personnalisation du contenu peut constituer (mais ne constitue pas toujours) 
un élément intrinsèque et attendu de certains services en ligne, et qu’elle peut donc être considérée, 
dans certains cas, comme nécessaire à l'exécution du contrat avec l'utilisateur du service. La question 
de savoir si un tel traitement peut être considéré comme un aspect intrinsèque d’un service en ligne 
dépendra de la nature du service fourni, des attentes de la personne concernée moyenne au regard 
non seulement des conditions du service, mais aussi de la manière dont le service est promu auprès 
des utilisateurs, ainsi que de la question de savoir si ce service peut être fourni sans personnalisation. 
Lorsque la personnalisation du contenu n’est pas objectivement nécessaire aux fins du contrat sous- 
jacent, par exemple lorsque la fourniture d’un contenu personnalisé vise à accroître la participation 
des utilisateurs à un service, mais qu’elle ne fait pas partie intégrante de l’utilisation de ce service, les 
responsables du traitement devraient envisager une autre base juridique, le cas échéant. 


29 Voir la directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant 
les contrats de fourniture de contenus numériques et de services numériques. 

30 Outre le fait que l’utilisation des données à caractère personnel est réglementée par le RGPD, il existe d’autres raisons pour 
lesquelles le traitement de données à caractère personnel diffère conceptuellement des paiements monétaires. Ainsi, par 
exemple, l'argent peut être comptabilisé, d’où la possibilité de comparer les prix sur un marché concurrentiel, et les 
paiements monétaires ne peuvent normalement être effectués qu'avec l'intervention de la personne concernée. En outre, 
les données à caractère personnel peuvent être exploitées par plusieurs services en même temps. Une fois que l’on perd le 
contrôle de ses données à caractère personnel, il peut être difficile d’en reprendre le contrôle. 

31 Avis 2/2010 du groupe de travail «article 29» sur la publicité comportementale en ligne (WP171). 

32 Voir le document de travail 02/2013 du groupe de travail «article 29» énonçant des lignes directrices sur le recueil du 
consentement pour le dépôt de cookies (WP208). 

33 Voir également les lignes directrices du groupe de travail «article 29» sur la prise de décision individuelle automatisée et le 
profilage aux fins du règlement 2016/679 (WP251rev.01), approuvées par le CEPD, page 13. 

34 Les services en ligne pourraient également devoir tenir compte de la directive (UE) 2019/770 du Parlement européen et du 
Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de 
services numériques (JO L 136 du 22.05.2019, p. 1), qui sera applicable à compter du 1°' janvier 2022. 
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Exemple 7 


Un moteur de recherche d'hôtels en ligne surveille les réservations passées des utilisateurs afin de 
créer un profil de leurs dépenses typiques. Ce profil est ensuite utilisé pour recommander des hôtels 
particuliers à l’utilisateur lorsque les résultats de la recherche sont affichés. Dans ce cas, le profilage 
du comportement passé et des données financières de l’utilisateur ne serait pas objectivement 
nécessaire à l'exécution d’un contrat, c’est-à-dire à la fourniture de services d’hôtellerie basés sur des 
critères de recherche particuliers fournis par l'utilisateur. Par conséquent, l’article 6, paragraphe 1, 
point b), ne serait pas applicable à cette activité de traitement. 











Exemple 8 


Une plateforme de vente en ligne permet aux acheteurs potentiels de rechercher et d'acheter des 
produits. La plateforme souhaite afficher des suggestions de produits personnalisées, en fonction des 
annonces que les acheteurs potentiels ont déjà consultées sur le site, afin d'améliorer l’interactivité. 
Cette personnalisation n’est pas objectivement nécessaire à la fourniture du service de marché. Dès 
lors, un tel traitement de données à caractère personnel ne saurait se fonder sur l’article 6, paragraphe 
1, point b) comme base juridique. 
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